首页
学习
活动
专区
工具
TVP
发布

字节脉搏实验室

专栏作者
221
文章
370266
阅读量
42
订阅数
phpstudy 小皮面板 RCE利用链
“刚安装完phpstudy面板准备测试,中途去吃了个饭,上服务器一看不知道被哪个老六上了个cs”
字节脉搏实验室
2023-03-01
6840
搭建反连平台检测oob漏洞
这样payload.com的域名解析请求将由nameserver.com完成,同时将nameserver.com指向你的反连平台1.1.1.1
字节脉搏实验室
2022-11-23
9790
这是一个SQL注入利用 in 进行waf绕过的图文实例
前言 这是一个利用 in 进行waf绕过的图文实例。 01 发现注入点 根据回显状态的不同判断出存在注入 📷 发现可能存在的注入点 📷 注入点报文 📷 单引号*1尝试 📷 单引号*2尝试 📷 单引号*3尝试 单引号回显存在一个规律,可以确定存在SQL注入。 02 正则waf绕过 使用轮子 admin’and1=’1 📷 尝试and1=1语句无回显,判断存在WAF 📷 尝试like|>|<>|=|!=|regexp|rlike无回显,排除and拦截 📷 使用in代替(like|=|!=)等字符 📷 使用%0a
字节脉搏实验室
2021-09-22
7200
[更新]Linux下应急响应工具whohk v1.1版本
距离上一个版本发布已经将近一年了,原本是自己工作之余捣鼓的一个提高效率的小工具,在这一年中收到了很多反馈,才发现原来这款工具给挺多人在实际工作中提高 很大的效率,所以这次根据之前的反馈,进行了一些更新。
字节脉搏实验室
2021-09-22
7520
CobaltStrike主机隐藏教程之穷逼版
<pre class=" language-bash" style="box-sizing: border-box; border-left: none; border-right: none; padding: 0.5em; overflow: auto; background-color: rgb(243, 243, 243); font-family: Consolas, Monaco, " andale="" mono",="" "ubuntu="" monospace;="" word-spacing:="" normal;="" word-break:="" overflow-wrap:="" line-height:="" 1.5;="" tab-size:="" 4;="" hyphens:="" none;"="">./ding -config=./ding.cfg -subdomain=kfire 44444
字节脉搏实验室
2021-07-09
1.2K0
读取向日葵绕360打内网
在某次演练打点信息收集的时候发现资产里面有某OA,正好上个月爆出了他的漏洞,具体看清水川崎师傅的《HVV行动之某OA流量应急》分析文章。
字节脉搏实验室
2021-07-09
1.3K0
HackTheBox—ScriptKiddi
开放了22,5000,8000,8888端口,但5000端口和8888端口打开是拒绝访问,所以从5000端口入手
字节脉搏实验室
2021-07-09
4740
文本分析之gensim处理文本【语料库与词向量空间】
文本分析是指对文本的表示及其特征项的选取;文本分析是文本挖掘、信息检索的一个基本问题,它把从文本中抽取出的特征词进行量化来表示文本信息。文本(text),与 讯息(message)的意义大致相同,指的是由一定的符号或符码组成的信息结构体,这种结构体可采用不同的表现形态,如语言的、文字的、影像的等等。文本是由特定的人制作的,文本的语义不可避免地会反映人的特定立场、观点、价值和利益。因此,由文本内容分析,可以推断文本提供者的意图和目的。
字节脉搏实验室
2021-07-09
1.2K0
CVE-2020-15148 Yii2框架反序列化漏洞
如果在使用yii框架,并且在用户可以控制的输入处调用了unserialize()并允许特殊字符的情况下,会受到反序列化远程命令命令执行漏洞攻击。
字节脉搏实验室
2021-05-31
3.9K0
WebGoat8-SqlInjection
参数query未经过滤并直接调用executeQuery来执行SQL语句并判断结果是否与"Marketing"相同
字节脉搏实验室
2021-05-31
5170
记一次运气拿下某校一台服务器
1、下载MetInfo 5.2.1到phpStudy的WWW目录下,开启phpStudy(注意php的版本问题,最好使用php5);
字节脉搏实验室
2021-05-31
6160
入侵检测系统建设及常见入侵手法应对
入侵检测是帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测是系统保护的最后一道安全闸门,在不影响网络和主机性能的情况下进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
字节脉搏实验室
2021-04-20
4.3K0
蓝队的自我修养之事后溯源(归因)| HVV 经验分享
众所周知,攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP &域名资产等。前文(蓝队的自我修养之事中监控)中讲到了在攻防演练场景下如何从海量的告警日志中获取高度疑似攻击者的 IP,在发现有攻击者之后,快速对其进行精准地溯源反制,收集攻击路径和攻击者身份信息,描绘出完整的攻击者画像。本文中笔者将对溯源的难点、目标以及方法论展开讨论。
字节脉搏实验室
2021-04-20
1.8K0
【蓝队利器】溯源反制之Mysql蜜罐
很快又是各种攻防演练了,每到这个时候,本公众号都会给红蓝双方的小伙伴们放送一点福利。虽然本号内容更新比较佛系,但是还是感谢诸位一直的关注。
字节脉搏实验室
2021-04-20
8760
蓝队的自我修养之事中监控 | HVV经验分享
一年一度的重保活动即将到来,作为防守方将进行 7*24h 的值守安全设备,防守方主要从“事前排查”、“事中监控”、“事后溯源”三个维度开展自己的工作。
字节脉搏实验室
2021-04-20
4K0
Metasploit 的 payload 特征
Metasploit 正是其中后渗透工具的翘楚。说起 Metasploit 这个词,可能大多数普通人不太了解,但对于搞渗透测试的人来说,它就犹如地之于豹,水之于鱼,天之于鹰,是当今安全专业人员免费提供的最有用的审计工具之一,同样地,黑客对其也是爱不释手。
字节脉搏实验室
2021-04-20
1.2K0
whohk,一款强大的linux应急响应辅助工具
在linux下的应急响应往往需要通过繁琐的命令行来查看各个点的情况,有的时候还需要做一些格式处理,这对于linux下命令不是很熟悉的人比较不友好。本工具将linux下应急响应中常用的一些操作给集合了起来,并处理成了较为友好的格式,只需要通过一个参数就能代替繁琐复杂的命令来实现对各个点的检查。
字节脉搏实验室
2021-04-20
1.2K0
从0开始学习黑客编程--第一节.环境搭建2
在写第二篇文章开始前,请允许本人先说两句,当然,不允许我也会说毕竟文章是我在写嘛。
字节脉搏实验室
2021-04-20
3540
F5 BIG-IP Cookie 信息泄露利用工具
F5 BIG-IP LTM 官方名称为本地流量管理器,也叫网络负载均衡器,是F5公司的新一代网络管理产品。BIG-IP LTM 可做4-7层负载均衡,具有负载均衡、应用交换、会话交换、包过滤等多种高级网络功能。
字节脉搏实验室
2021-03-11
2.9K0
Linux主机安全排查
(3)使用lsof –i(仅限Linux)显示进程和端口对应关系
字节脉搏实验室
2021-02-05
8.2K0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
【玩转EdgeOne】征文进行中
限时免费体验,发文即有奖~
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档